Cyber Security
CISA indaga su hack di Sisense: preoccupazione per le infrastrutture critiche
Tempo di lettura: 2 minuti. La CISA indaga sulla violazione dei dati di Sisense che ha impattato le organizzazioni di infrastrutture critiche, esortando i clienti a reimpostare le credenziali esposte.
L’agenzia statunitense per la sicurezza informatica, CISA (Cybersecurity and Infrastructure Security Agency), sta indagando sulla recente violazione dei dati subita dalla compagnia di analisi dati Sisense. Questo incidente ha avuto ripercussioni anche sulle organizzazioni di infrastrutture critiche.
Sisense, società americana di software per l’intelligenza aziendale fondata in Israele nel 2004 e con sede attuale a New York, conta oltre 2.000 clienti in due decenni, tra cui figure importanti come Nasdaq, ZoomInfo, Verizon e Air Canada.
La violazione ha colpito in particolare le organizzazioni del settore delle infrastrutture critiche negli Stati Uniti, e CISA sta ora lavorando con partner del settore privato per valutare l’impatto dell’incidente. L’agenzia ha sottolineato l’importanza della collaborazione con il settore privato, specialmente per quanto riguarda le organizzazioni di infrastrutture critiche coinvolte, e si è impegnata a fornire aggiornamenti man mano che saranno disponibili maggiori informazioni.
CISA raccomanda a tutti i clienti di Sisense di reimpostare tutte le credenziali e i segreti potenzialmente esposti o utilizzati per accedere ai servizi della piattaforma. Anche il CISO di Sisense, Sangram Dash, ha ribadito il consiglio di CISA in un messaggio inviato ai clienti, esortandoli a ruotare prontamente qualsiasi credenziale utilizzata all’interno dell’applicazione Sisense, come misura precauzionale durante l’indagine in corso.
I clienti sono inoltre invitati a segnalare qualsiasi attività sospetta che coinvolga credenziali potenzialmente esposte o accessi non autorizzati ai servizi di Sisense direttamente a CISA.
Questo incidente richiama alla memoria l’attacco alla catena di fornitura che ha portato alla violazione di 3CX un anno fa, il quale ha colpito diverse organizzazioni di infrastrutture critiche, tra cui fornitori di energia negli Stati Uniti e in Europa.
Rilasciati nove avvisi ICS
L’11 aprile 2024 il CISA ha pubblicato nove avvisi sui sistemi di controllo industriale (ICS). Questi avvisi forniscono informazioni tempestive su problemi di sicurezza, vulnerabilità ed exploit attuali relativi agli ICS.
- ICSA-24-102-01 Siemens SIMATIC S7-1500
- ICSA-24-102-02 Siemens SIMATIC WinCC
- ICSA-24-102-03 Siemens RUGGEDCOM APE1808 before V11.0.1
- ICSA-24-102-04 Siemens RUGGEDCOM APE1808
- ICSA-24-102-05 Siemens Scalance W1750D
- ICSA-24-102-06 Siemens Parasolid
- ICSA-24-102-07 Siemens SINEC NMS
- ICSA-24-102-08 Siemens Telecontrol Server Basic
- ICSA-24-102-09 Rockwell Automation 5015-AENFTXT
CISA incoraggia gli utenti e gli amministratori a rivedere i nuovi avvisi ICS per i dettagli tecnici e le mitigazioni.
Cyber Security
Perdite di traffico DNS fuori dal Tunnel VPN su Android
Tempo di lettura: 2 minuti. Il traffico DNS può sfuggire ai tunnel VPN su Android e quali passi sta prendendo Mullvad VPN per mitigare il problema
Mullvad VPN ha recentemente rivelato che il traffico DNS può sfuggire ai tunnel VPN su dispositivi Android a causa di bug nel sistema operativo stesso, che colpiscono solo determinate app. Questa scoperta mette in luce potenziali rischi per la privacy degli utenti che utilizzano VPN su questi dispositivi.
Dettagli del problema
Il problema si verifica in particolare quando un’applicazione Android utilizza la funzione C getaddrinfo
per risolvere i nomi di dominio. In scenari specifici, come durante la riconfigurazione di un’app VPN o quando un’app viene forzata alla chiusura o va in crash, il traffico DNS può fuoriuscire dal tunnel VPN configurato. Questa situazione persiste anche se le opzioni “Always-on VPN” e “Block connections without VPN” sono attive, comportamento che non rispecchia le aspettative per il sistema operativo e che necessita di essere risolto.
Riscontri e miglioramenti proposti
Mullvad VPN ha identificato e confermato che questi leak si verificano su più versioni di Android, inclusa l’ultima versione Android 14. Per mitigare il problema, l’app di Mullvad non configurerà più nessun server DNS nello stato di blocco. Inoltre, l’azienda propone di impostare un server DNS fittizio per ora, in attesa di una soluzione più definitiva. Tuttavia, la questione della perdita di traffico DNS durante la riconnessione del tunnel è più complessa e ancora in fase di indagine per possibili soluzioni.
Raccomandazioni e azioni future
Mullvad VPN ha segnalato il problema e le soluzioni proposte a Google, sperando in una rapida risoluzione. Nel frattempo, è essenziale che gli utenti di VPN su Android restino aggiornati con le ultime versioni dell’app per beneficiare delle mitigazioni introdotte. A seconda del modello di minaccia individuale, potrebbe essere consigliabile evitare l’uso di dispositivi Android per attività sensibili o adottare altre misure di mitigazione per prevenire perdite.
Queste perdite di traffico DNS Android possono avere gravi implicazioni per la privacy, poiché potrebbero rivelare la posizione approssimativa degli utenti o le attività online svolte sotto VPN. La scoperta sottolinea l’importanza di comprendere le limitazioni delle tecnologie di sicurezza e di prendere misure proattive per proteggere i propri dati in ambiente digitale.
Cyber Security
Ancora problemi per Kaspersky: è coinvolta nella guerra cibernetica Ucraina?
Tempo di lettura: 2 minuti. Scopri le controversie legate a Kaspersky riguardo al suo presunto aiuto nella guerra cibernetica della Russia contro l’Ucraina
Recenti rapporti e investigazioni hanno sollevato sospetti sul coinvolgimento di Kaspersky, una rinomata azienda di sicurezza informatica russa, nello sviluppo di tecnologie per droni usati dalla Russia nel conflitto contro l’Ucraina. Nonostante le smentite dell’azienda, le prove accumulate da gruppi di intelligence volontari e la documentazione trapelata suggeriscono una collaborazione più profonda con il produttore di droni russo Albatross, soprattutto nella fase iniziale del conflitto.
Dettagli delle Accuse
Secondo un’inchiesta condotta da InformNapalm, un gruppo di analisi OSINT, Kaspersky avrebbe collaborato con Albatross, un’azienda che ha lavorato con l’Iran per produrre droni di ricognizione per il Cremlino. Questo legame risalirebbe al 2018, quando alcuni membri del team di Kaspersky, tra cui Alexey Florov e Konstantin Spiridonov, si unirono al progetto Albatross per sviluppare tecnologie per droni. Il frutto di questa collaborazione sarebbe stato l’uso di una rete neurale a bordo dei droni per identificare persone tramite sensori visivi e audio, con applicazioni sia civili che militari.
Reazioni e smentite di Kaspersky
Kaspersky ha fermamente negato queste affermazioni, dichiarando che la loro collaborazione con Albatross era puramente sperimentale e non commerciale, focalizzata su azioni umanitarie. Tuttavia, i documenti trapelati indicano che i droni di Albatross non sarebbero stati operativi senza il sostegno tecnologico di Kaspersky. Le presentazioni di Albatross suggerirebbero addirittura che i droni fossero equipaggiati con “soluzioni di reti neurali di Kaspersky” fin dal 2022.
Implicazioni e reazioni internazionali
Le attività descritte hanno sollevato preoccupazioni internazionali, portando a richieste di sanzioni più severe contro Kaspersky, al fine di impedire all’azienda di acquisire tecnologie che potrebbero essere utilizzate in operazioni militari contro l’Ucraina. InformNapalm e altri gruppi sostengono che, considerata la natura delle attività e le collaborazioni, non dovrebbero esserci eccezioni nelle restrizioni tecnologiche imposte alla Federazione Russa.
La questione solleva interrogativi critici sull’etica delle aziende di sicurezza informatica e il loro possibile coinvolgimento in conflitti armati. Mentre Kaspersky continua a negare le accuse, sostenendo di aderire alla sua missione di protezione contro il malware, la comunità internazionale rimane divisa sull’interpretazione dei fatti e sulle azioni appropriate da intraprendere.
Cyber Security
NATO e UE condannano gli attacchi di APT28 a Germania e Repubblica Ceca
Tempo di lettura: 2 minuti. NATO e UE condannano gli attacchi cibernetici della Russia contro Germania e Repubblica Ceca, mettendo in luce le serie minacce alla sicurezza e alla democrazia.
Recentemente, NATO e Unione Europea, insieme ad altri partner internazionali, hanno formalmente condannato una lunga campagna di spionaggio cibernetico condotta dall’APT28 collegato alla Russia contro diversi paesi europei, inclusi Germania e Repubblica Ceca.
Dettagli degli Attacchi
Gli attacchi sono stati attribuiti al gruppo di minaccia russo APT28, associato al servizio di intelligence militare russo GRU. Questo gruppo è noto per le sue operazioni prolungate di spionaggio cibernetico. In Germania, APT28 ha compromesso molti account email tramite una vulnerabilità zero-day di Microsoft Outlook. Inoltre, il gruppo ha colpito varie autorità governative e aziende nei settori della logistica, armamenti, industria aerospaziale e servizi IT, così come fondazioni e associazioni.
Reazioni e dichiarazioni
La Repubblica Ceca, basandosi su informazioni dei servizi di intelligence, ha rivelato che alcune delle sue istituzioni sono state bersaglio nella campagna di Outlook nel 2023. Il Ministero degli Affari Esteri ceco ha espresso profonda preoccupazione per questi ripetuti attacchi cibernetici da parte di attori statali e ha sottolineato la determinazione a rispondere con fermezza a questo comportamento inaccettabile insieme ai partner europei e internazionali. Questi attacchi sono considerati una minaccia seria alla sicurezza nazionale e al processo democratico su cui si basa la società libera.
Implicazioni più Ampie
Il Consiglio dell’Unione Europea e la NATO hanno dichiarato che APT28 ha anche attaccato infrastrutture critiche e agenzie governative in altri stati membri dell’UE, inclusi Lituania, Polonia, Slovacchia e Svezia. Le attività ibride recenti della Russia, che includono sabotaggi, atti di violenza, interferenze cibernetiche ed elettroniche, campagne di disinformazione e altre operazioni ibride, sono state descritte dalla NATO come una minaccia alla sicurezza degli Alleati.
La condanna formale di questi attacchi da parte di organismi internazionali come NATO e UE sottolinea l’importanza della cooperazione internazionale nel contrastare le minacce alla sicurezza cibernetica e nel mantenere la sicurezza globale. Questi sviluppi enfatizzano la necessità di rafforzare le difese cibernetiche e di lavorare insieme per prevenire future incursioni.
- Editoriali2 settimane fa
MITRE vittima di zero day Ivanti: anche i migliori le prendono
- Inchieste2 settimane fa
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
- Inchieste2 settimane fa
Managed Service Providers in Italia: numeri di un mercato in crescita
- Inchieste2 settimane fa
Cloud Italiano qual è il Trend del 2024? Aziende e servizi disponibili
- Inchieste2 settimane fa
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
- Cyber Security1 settimana fa
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni
- Inchieste7 giorni fa
Papa Francesco sarà al G7 e l’Italia festeggia il DDL AI
- L'Altra Bolla1 settimana fa
Reddit rivoluziona l’E-Commerce con Dynamic Product Ads